Configura Enterprise Sign-In con AD FS 2.0
La tua organizzazione può gestire con facilità migliaia di utenti e l’accesso ai loro prodotti offrendo al contempo il metodo Single Sign-On (SSO). SSO garantisce agli utenti di poter accedere al loro GoTo prodotti con lo stesso provider di identità usato per le loro altre applicazioni e ambienti aziendali. Queste capacità vengono chiamate Enterprise Sign-In.
Questa documento esamina la configurazione dei tuoi Active Directory Federation Services (AD FS) per supportare l'autenticazione single sign-on GoTo prodotti.
AD FS 2.0 è una scaricabile componente per Windows Server 2008 e 2008 R2. È semplice da implementare, ma ci sono diverse fasi di configurazione che richiedono stringhe specifiche, certificati, URL, ecc. AD FS 3.0 è supportato anche per l'Enterprise Sign-In. AD FS 3.0 ha diversi miglioramenti, il più grande è che Microsoft Internet Information Services (IIS) è incluso nell’implementazione anziché in un’installazione separata.
Passaggio 1: Configura un'organizzazione per ADFS 2.0
Configura un'organizzazione registrando almeno un dominio di posta elettronica valido GoTo per verificare la tua proprietà di tale dominio. I domini all'interno dell'organizzazione sono domini e-mail interamente di proprietà dell'organizzazione che gli amministratori possono verificare tramite il servizio Web o il server DNS.
Configura un'organizzazione.
Disabilita le e-mail di benvenuto per gli utenti (opzionale).
Risultati: Hai correttamente impostato un'organizzazione e configurato le impostazioni che desideri per le e-mail di benvenuto.
Passaggio 2: Certificato federativo dei servizi di chiamata
Ogni distribuzione AD FS è identificata da un nome DNS (AD esempio " adfs.mydomain.com). Avrai bisogno di un certificato emesso per questo nome soggetto prima di iniziare. Questo identificatore è un nome visibile all’esterno, quindi assicurati di scegliere un nome adeguato a rappresentare la tua azienda per i partner. Inoltre, non utilizzare questo nome anche come nome dell’host server, perché potrebbe causare problemi relativi alla registrazione dei nomi dell’entità servizio (SPN).
Passaggio 3: Crea un account utente di dominio
I server AD FS richiedono che crei un account utente di dominio per eseguire i propri servizi (non sono richiesti gruppi specifici).
Passaggio 4: Installa il primo server AD FS
- Scarica AD FS 2.0 ed esegui l'installer. Assicurati di eseguire il programma di installazione come amministratore di dominio: creerà SPN e altri contenitori in AD.
- In Ruolo server, seleziona Server federativo.
- Controlla Avvia AD FS 2.0 snap-in di gestione quando si chiude questa procedura guidata al termine della configurazione guidata.
- Negli snap-in di gestione di AD FS, seleziona Crea nuovo servizio federativo.
- Seleziona Nuova farm del server federativo.
- Seleziona il certificato che hai creato nel passaggio precedente.
- Seleziona l’utente del dominio che hai creato nei passaggi precedenti.
Passaggio 5: Configura la tua relying party
In questo passaggio, avverterai AD FS il tipo di token SAML che il sistema accetta.
- In AD FS 2.0 MMC, seleziona Relazioni di trust> Relying Party Trust (Relying Party Trust) nell'albero di navigazione.
- Seleziona Aggiungi Relying Party Trust e seleziona Avvia.
- Sotto Seleziona origine dati, seleziona Importa dati della relying party pubblicata online o in una rete LAN.
- Nella casella di testo sotto l’opzione selezionata, incolla l’URL dei metadati: http://identity.goto.com/saml/sp.
- Seleziona OK per rendere noto che alcuni metadati che AD FS 2.0 non a comprendere vieni ignorati.
- Nella pagina Specifica nome visualizzato, digita LogMeInTruste seleziona Avanti.
- Nella schermata Scegli regole di autorizzazione rilascio, scegli Consenti a tutti gli utenti l'accesso a questa relying party a meno che non desideri selezionare un'altra opzione.
- Procedi confermando il resto delle istruzioni per completare questa parte della relazione di trust.
Aggiungi 2 regole di attestazione
- Seleziona la nuova voce dell'endpoint e quindi seleziona Modifica regole attestazione nel menu di navigazione.
- Seleziona la scheda Regole di trasformazione rilascio e fai clic su Aggiungi regola.
- Usa il menu a discesa per selezionare Invia attributi LDAP come richieste, quindi seleziona Avanti.
- Usa le seguenti impostazioni per la regola:
- Nome regola di attestazione – E-mail AD
- Archivio attributi – Active Directory
- Attributo LDAP – Indirizzi e-mail
- Tipo di attestazione in uscita – Indirizzo e-mail
- Seleziona Completa.
- Seleziona Aggiungi regola nuovamente.
- Usa il menu a discesa per selezionare Trasforma un attestazione in entrata, quindi seleziona Avanti.
- Usa le seguenti impostazioni per la regola:
- Nome regola attestazione – ID nome
- Tipo di attestazione in ingresso – Indirizzo e-mail
- Tipo di attestazione in uscita – ID nome
- Formato ID nome in uscita – E-mail
- Seleziona Pass-through di tutti i valori attestazione.
- Seleziona Completa.
Completa la configurazione
- Per impedire AD FS di inviare asserzioni crittografate per impostazione predefinita, apri un prompt dei comandi di Windows Power Shell ed esegui il seguente comando:
Passaggio 6: Configura l'attendibilità
L’ultimo passaggio della configurazione è l’accettazione dei token SAML generati dal nuovo servizio ADFS.
- Usa la sezione "Provider di identità" nel Centro organizzativo per aggiungere i dettagli necessari.
- Per AD FS 2.0, seleziona la configurazione “Automatico” e inserisci il seguente URL – sostituendo “server” con il nome host accessibile esternamente del tuo server AD FS: https://server/FederationMetadata/2007-06/FederationMetadata.xml
Passaggio 7: Prova la configurazione del server singolo
A questo punto dovresti essere in grado di testare la configurazione. Devi creare una voce DNS per l’identità del servizio ADFS, che punti al server ADFS appena configurato, oppure un servizio di bilanciamento del carico della rete se ne utilizzi uno.
- Per testare il Provider di identità-Accesso avviato, vai al tuo URL IdP personalizzato (esempio: https://adfs. < my domain.com> /adfs/ls / < IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Dovresti vedere l’identificatore della relying party in una casella combinata in "Accedi a uno dei seguenti siti".
- Come provare il Relying Party-Avvia accesso avviato, visualizzare le istruzioni per Come posso accedere con il metodo single sign-on?